> Retouradres Postbus 20201 2500 EE Den Haag Voorzitter van de Tweede Kamer der Staten-Generaal Postbus 20018 2500 EA Den Haag Directie Financiële Markten Korte Voorhout 7 2511 CW Den Haag Postbus 20201 2500 EE Den Haag www.rijksoverheid.nl Ons kenmerk FM/2014/503 U Uw brief (kenmerk) 2014Z04664 Datum 8 april 2014 Betreft Beantwoording Kamervragen van de leden Aukje de Vries en Van Oosten (beiden VVD) aan de minister van Financiën en de staatssecretaris van Veiligheid en Justitie over het bericht "ING geeft adverteerder inzicht in klantgedrag" (Ingezonden 13 maart 2014) Bijlagen Geachte voorzitter, Hierbij doe ik u de antwoorden toekomen op vragen die gesteld zijn door de Kamerleden Aukje de Vries en Van Oosten (beiden VVD) aan de minister van Financiën en de staatssecretaris van Veiligheid en Justitie over het bericht "ING geeft adverteerder inzicht in klantgedrag". Deze vragen zijn mij toegezonden per brief van 13 maart 2014 onder nummer 2014Z04664. Hoogachtend, de minister van Financiën, J.R.V.A. Dijsselbloem Pagina 1 van 5 Vraag 1 Heeft u kennisgenomen van het bericht "ING geeft adverteerder inzicht in klantgedrag" in het Financieele Dagblad van 10 maart 2014? 1) Directie Financiële Markten Ons kenmerk FM/ 2014/503 U Antwoord Ja. Vraag 2 Eerder heeft de minister van Financiën negatief gereageerd op de plannen van betalingsverwerker Equens om de transactiegegevens van winkeliers te verkopen; wat vindt u van het voorstel van ING om derden inzicht te verschaffen in het betalingsgedrag van hun klanten? In hoeverre is dit acceptabel gegeven de huidige privacyregelgeving? Wat is de mening van de privacywaakhond College Bescherming Persoonsgegevens over deze casus? Antwoord De Autoriteit Financiële Markten (AFM) en De Nederlandsche bank zijn kritisch over de plannen van ING. Consumenten zijn sterk afhankelijk van banken. Ik sta voor een bancaire sector die dienstbaar is aan de Nederlandse economie en waar de klant centraal staat. Het is echter zeer de vraag in hoeverre de plannen van ING in het belang van de klant is en in hoeverre de bank de rechtmatige verwerking (waaronder de veiligheid) van de klantgegevens kan waarborgen. Of dit het geval is, zullen de banken die volledig op de hoogte zijn van de omvang en aard van de activiteiten zelf moeten aantonen. Een onzorgvuldige aanpak en slechte communicatie kan het vertrouwen van de consument in de bancaire sector ernstig schaden. Zoals ook is aangegeven in het antwoord op de Kamervragen die zijn gesteld door de leden Schouw en Verhoeven (beiden D66) geldt voor het verwerken van persoonsgegevens voor andere doeleinden dan de uitvoering van de overeenkomst als sectorale uitwerking van de Wet bescherming persoonsgegevens (Wbp) de Gedragscode verwerking persoonsgegevens financiële instellingen. Deze Gedragscode is opgesteld door de Nederlandse Vereniging van Banken en het Verbond van Verzekeraars. Het College bescherming persoonsgegevens (Cbp) heeft voor deze Gedragscode in april 2010 een goedkeurende verklaring afgegeven. Deze verklaring heeft een geldigheidsduur van vijf jaar. De Gedragscode bevat geen bepalingen over het gebruik van de persoonsgegevens voor andere doeleinden in de vorm van verstrekkingen aan derde partijen. Dit betekent niet dat het gebruik van de persoonsgegevens voor andere doeleinden daarmee categorisch is uitgesloten. De Wbp opent in elk geval de mogelijkheid om een rechtvaardiging daarvoor te zoeken in toestemming van de klant (artikel 8a). Die toestemming zal wel aan specifieke eisen moeten voldoen. In artikel 1 aanhef en onder i Wbp is namelijk bepaald dat onder toestemming van een betrokkene wordt verstaan: ‘elke vrije, specifieke en op informatie berustende wilsuiting waarmee de betrokkene aanvaardt dat hem betreffende persoonsgegevens worden verwerkt’. Hierbij is onder andere van belang dat niet van een rechtsgeldige toestemming kan worden gesproken als de betrokkene onder druk van omstandigheden waarin hij verkeert of de relatie waarin hij staat tot de verantwoordelijke tot toestemming is overgegaan. Als tweede voorwaarde geldt dat de wilsuiting van de betrokkene betrekking moet hebben op een bepaalde Pagina 2 van 5 gegevensverwerking of een beperkte categorie van gegevensverwerkingen. Duidelijk moet zijn welke verwerking, van welke gegevens, voor welk doel zal plaatsvinden, en als het daarbij gaat om een verstrekking aan derden, ook aan welke derden. Dit betekent dat een zeer brede en onbepaalde machtiging niet als toestemming kan worden aangemerkt. Als derde voorwaarde geldt ‘informed consent’: de betrokkene kan slechts verantwoord toestemming geven wanneer hij zo goed mogelijk is ingelicht. 1 Directie Financiële Markten Ons kenmerk FM/ 2014/503 U In artikel 9 lid 1 van de Wbp is bepaald dat persoonsgegevens niet verder worden verwerkt op een wijze die onverenigbaar is met de doeleinden waarvoor ze zijn verkregen. Volgens het tweede lid van genoemd artikel wordt bij de beoordeling of een verwerking onverenigbaar is met het doel waarvoor de gegevens zijn verkregen onder andere rekening gehouden met de verwantschap tussen oorspronkelijk en beoogd doel, aard van de gegevens, consequenties voor de betrokkene en de wijze waarop de gegevens zijn verkregen. In de onderhavige context moet bij die beoordeling verder worden betrokken het vertrouwen van de cliënt in de bank dat wordt geboden door de financiële regelgeving, de overeenkomst, de algemene bankvoorwaarden, de Wbp en de Gedragscode. Het is niet aan mij noch aan de Staatssecretaris van Veiligheid en Justitie om een uitspraak te doen over de verenigbaarheid met de Gedragscode of de Wbp. Het College bescherming persoonsgegevens is belast met het toezicht op de naleving en de handhaving van de Wbp. Het Cbp kan, als het daartoe aanleiding ziet, een onderzoek instellen. Het Cbp doet in beginsel geen uitspraken over lopende en mogelijke onderzoeken. Vraag 3 Wat zijn de regels en/of afspraken als het gaat om het gaan van "opt in" naar "opt out", onder meer ook bij wijzigingen van de onderliggende afspraken? Wat zijn de afspraken over informatievoorziening richting de consument in dit kader? Antwoord Alle marktpartijen zijn gehouden aan de regels zoals deze zijn vastgelegd in de Wet bescherming persoonsgegevens en de Wet op het Financieel Toezicht. Een belangrijk uitgangspunt van deze wetgeving is dat transparant wordt gehandeld. De klant moet te allen tijde worden geïnformeerd over hetgeen waarvoor hij tekent, ook wanneer er zich wijzigingen in de onderliggende dienstverlening voordoen. Daarnaast moet de klant te allen tijde zijn toestemming kunnen intrekken (artikelen 8a en 23a Wbp). Vraag 4 Voldoen de plannen van ING aan de 'Gedragscode verwerking persoonsgegevens financiële instellingen', die ook is onderschreven door ING, waarin staat dat persoonsgegevens verder niet worden verwerkt op een wijze die onverenigbaar is met de doeleinden waarvoor ze zijn verkregen? Kunt u uw antwoord toelichten? 1 Memorie van Toelichting Wbp, Tweede Kamer, vergaderjaar 1997-1998, 25 892, nr. 3 blz. 65. Pagina 3 van 5 Antwoord De exacte omvang en uitvoering van de plannen van ING zijn niet bekend. ING heeft aangegeven nog geen uitvoering te gaan geven aan de proef en eerst met stakeholders zoals klanten, toezichthouders, privacy-organisaties en consumentenorganisaties in gesprek te gaan. ING stelt uitsluitend gebruik te maken van persoonlijke klantgegevens binnen de grenzen van wet- en regelgeving, in het bijzonder de Wet bescherming persoonsgegevens, en de daarop gebaseerde Gedragscode verwerking persoonsgegevens financiële instellingen en de ING business principles. Zie voorts het antwoord op vraag 2. Directie Financiële Markten Ons kenmerk FM/ 2014/503 U Vraag 5 Hoe past de actie van ING in het beleid van het kabinet, zoals uiteengezet in de notitie "Vrijheid en veiligheid in de digitale samenleving. Een agenda voor de toekomst" van de minister van Veiligheid en Justitie van 13 december 2013 (Kamerstuk 26 643 nr. 298) en in de kabinetsvisie op e-privacy 'Op weg naar gerechtvaardigd vertrouwen' van 24 mei 2013 (Kamerstuk 32 761 nr. 49)? Antwoord Het plan van ING staat los van het beleid van het kabinet. In de kabinetsnota van 24 mei 2013 is vermeld dat bedrijven volop bezig zijn met Big Data. Nieuwe technieken creëren immers commerciële en maatschappelijke kansen. Tegelijkertijd is vermeld dat de gevolgen voor de privacy van gebruikers van aangeboden diensten en producten niet altijd op voorhand duidelijk zijn, terwijl deze wel ingrijpend kunnen zijn. Kernboodschap van de brief is dan ook dat het zorgvuldig omgaan met persoonsgegevens essentieel is om het maatschappelijke vertrouwen in digitale dienstverlening te behouden. De kabinetsnota van 13 december 2013 richt zich specifiek op de overheid en daarbinnen de overheidsdiensten op het terrein van de veiligheid. Een van de aandachtspunten daarin is hoe er bij big data toepassingen voor kan worden gezorgd dat het proces van profilering ten behoeve van de veiligheid voldoende transparant is. Vraag 6 Bent u bereid om alsnog met de Nederlandse Vereniging van Banken, de banken, het College Bescherming Persoonsgegevens, en eventueel andere betrokken partijen nadere afspraken te maken over het waarborgen van de privacy van de klanten van de banken (in brede zin), aangezien het belangrijk is dat met dit soort gegevens uitermate voorzichtig wordt omgegaan? Zo nee, waarom niet? Antwoord De AFM houdt naast het College bescherming persoonsgegevens goed de vinger aan de pols. De AFM heeft alle banken opgeroepen om met de maatschappij in gesprek te gaan over het gebruik van gegevens van klanten. 2 ING heeft in ieder geval aangegeven in gesprek te gaan met klanten, toezichthouders, privacyorganisaties en consumentenorganisaties. Ook de Nederlandse Vereniging van Banken vindt een maatschappelijke discussie over de inzet van Big Data zinvol en gaat hierover graag het gesprek aan met alle betrokkenen, waarbij de privacy van de klant voorop staat. Uit deze gesprekken, die binnen het Maatschappelijk Overleg Betalingsverkeer kunnen worden gevoerd, zal moeten blijken of nadere afspraken nodig zijn om de privacy van de klanten van banken te beschermen. 2 Zie: http://www.afm.nl/professionals/afm-actueel/nieuws/2014/mrt/big-date.aspx. Pagina 4 van 5 Vraag 7 Wat is de stand van zaken van de eerdere plannen van Equens om pingegevens van winkels te verkopen, nu destijds Equens heeft gezegd voorlopig af te zien van de verkoop van pingegevens, maar dus nog niet definitief? Directie Financiële Markten Ons kenmerk FM/ 2014/503 U Antwoord De plannen van Equens namen indertijd ook veel maatschappelijke onrust met zich mee. Equens heeft om deze reden aangegeven alleen verdere stappen te nemen in het geval dat alsnog een breed maatschappelijk draagvlak tot stand komt. Equens heeft aangegeven een dergelijk breed maatschappelijk draagvlak vooralsnog niet te constateren en daarom momenteel ook geen enkel plan of voornemen te hebben om verdere stappen te zetten op dit terrein. 1) "ING geeft adverteerder inzicht in klantgedrag" en "Verdienmodel Google lonkt nu bank stuit op grenzen van de groei", Financieele Dagblad 10 maart 2014 Toelichting: Deze vragen dienen ter aanvulling op eerdere vragen terzake van de leden Schouw en Verhoeven (beiden D66) ingezonden 12 maart 2014 (vraagnummer 2014Z04555). Pagina 5 van 5